信息來源：Freebuf

近日，圍繞華為L20首席安全專家為Linux內(nèi)核提交補丁卻被發(fā)現(xiàn)漏洞，國內(nèi)外有了很多的討論。今天想和大家梳理一下整個事件，理性判斷。

事情從5月10日開始，華為在內(nèi)核加固郵件列表上公開了一個針對Linux內(nèi)核防御的方案HKSP，這也是很多大型科技公司的常見做法。

但很快，PaX/GRsecurity團隊找到了HKSP方案的一些漏洞并且在網(wǎng)站上公開。針對漏洞問題，此事開始在一些社交網(wǎng)站引發(fā)討論，不斷發(fā)酵。

爭論的點在于：

1、這是否是華為的公司項目 ；

2、如果是公司項目，HKSP是否已經(jīng)集成到華為產(chǎn)品中，帶來安全威脅（HKSP補丁在內(nèi)核代碼中引入了一個“輕而易舉就能利用的”漏洞）。

同時，也由此引發(fā)了多種基于政治背景下的陰謀論。

而在GRsecurity最先發(fā)布的博文里寫道：HKSP作者是一位在華為工作的20級的高級安全雇員；HKSP是一個完全缺乏防御性的程序，引入了可輕易利用的漏洞。

對此，HKSP作者（未經(jīng)證實的信息顯示該作者是HKSP的長期開發(fā)者）在內(nèi)核加固郵件列表中解釋說：這個并不是公司項目而是個人的開源項目。

而在ZeroBin上我們看到了疑似作者的發(fā)聲：

在Github上的作者自述文件中，作者則進一步解釋了，這些是demo code，是主要為了快速驗證這些漏洞緩解措施是否有效的poc代碼，因此沒有加入安全參數(shù)檢查。

而5月11日，華為產(chǎn)品安全應(yīng)急響應(yīng)中心發(fā)布公告指出：經(jīng)過調(diào)查HKSP并沒有集成到任何的華為當(dāng)前產(chǎn)品中。

5月12日，作者已經(jīng)把HKSP名稱修改為AKSP。

最后，此次事件放在一個任何普通的公司都是一件小事，但加上華為、grsecurity、中美貿(mào)易三個杠桿，足以矚目。再加上此前華為也曾被指責(zé)在設(shè)備中安裝后門，此次就補丁漏洞事件引發(fā)的爭論難免讓人聯(lián)想，是否逐漸脫離事件本身。從開源代碼貢獻的角度來看，全世界范圍內(nèi)有上萬程序員為Linux 內(nèi)核貢獻代碼，而HKSP作者是其中一員，因此，大家對于此事的討論或許更應(yīng)該集中于開源代碼漏洞本身以及后期修復(fù)、處理工作上，而不是盯住瑕疵一味爭論。